瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】借瑞星在线免费查毒解决Trojan.DL.GPigeon.a和Exploit.HTML.Mht

1   1  /  1  页   跳转

【原创】借瑞星在线免费查毒解决Trojan.DL.GPigeon.a和Exploit.HTML.Mht

收藏
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-07-18 14:09 | 只看楼主 短消息 资料
字号: 1楼

【原创】借瑞星在线免费查毒解决Trojan.DL.GPigeon.a和Exploit.HTML.Mht

今天一个同事的电脑开机出现蓝屏死机:

FileName: VWIN32(05)+00000BF$ error OE:0028:C)ZA3E54

该电脑使用Win ME。

一、重新启动计算机到安全模式。

二、用msconfig.exe检查开机启动项,发现名为Net可疑启动项(如下图所示),对应的文件为c:\windows\system\svch0st.exe(注意文件名中的h和s之间的是数字0)

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-18 14:09:19
描述:



最后编辑2005-07-18 21:54:14
分享到:
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-07-18 14:11 | 只看楼主 短消息 资料
字号: 2楼

把三个可疑的Net启动项取消

三。设置系统显示所有文件,不隐藏文件扩展名

方法是:

1. 启动 我的电脑或Windows 资源管理器。
2. 单击“查看”菜单 (Windows 95/98/NT) 或“工具”菜单 (Windows Me/2000/XP),然后单击“选项”或“文件夹选项”。
3. 单击“查看”选项卡。
4. 取消选中“隐藏已知文件类型的扩展名”。
5. 执行下列操作之一:
Windows 95/NT。单击“显示所有文件”。
Windows 98。在“高级设置”框的“隐藏文件”文件夹下,单击“显示所有文件”。
Windows Me/2000/XP:取消“隐藏受保护的操作系统文件”前的钩,并在“隐藏文件和文件夹”文件夹下,单击“显示所有文件和文件夹”。
6. 单击“应用”,然后单击“确定”。

四、用资源管理器打开c:\windows\system,用菜单:查看--》排列图标--》按日期

找到了可疑文件svch0st.exe和sfc2.dll,如下图所示:
(注意:svch0st.exe以文件夹为图标,有很大的迷惑性)

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-18 14:11:20
描述:
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-07-18 14:12 | 只看楼主 短消息 资料
字号: 3楼

可疑文件svch0st.exe的属性

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-18 14:12:36
描述:
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-07-18 14:17 | 只看楼主 短消息 资料
字号: 4楼

可疑文件sfc2.dll的属性


附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-18 14:17:31
描述:
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-07-18 14:19 | 只看楼主 短消息 资料
字号: 5楼

五、接下来在C:\找到两个文件web.exe和downSys.exe,这两个文件的图标(也是以文件夹作为图标)和文件属性(如文件大小,功能描述等)均与svch0st.exe相同。如下图所示:

可疑文件web.exe的文件属性
(downSys.exe的文件属性除文件名外,与web.exe相同,故不再上传)


附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-18 14:19:21
描述:
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-07-18 14:22 | 只看楼主 短消息 资料
字号: 6楼

估计其他文件夹可能还有,决定先用瑞星在线免费查毒功能检查。

六、正常启动windows,到

http://online.rising.com.cn/ravonline/RavSoft/Rav.asp

使用瑞星在线免费查毒功能,结果发现两个Trojan.DL.GPigeon.a和一个Exploit.HTML.Mht,如下图所示。前面发现的svch0st.exe、sfc2.dll、web.exe和downSys.exe均未报。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-18 14:22:32
描述:
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-07-18 14:25 | 只看楼主 短消息 资料
字号: 7楼

七、又用Mcafee在线免费查毒,结果与瑞星相同,如下图所示。

前面发现的svch0st.exe、sfc2.dll、web.exe和downSys.exe仍未报。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-18 14:25:54
描述:
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-07-18 14:28 | 只看楼主 短消息 资料
字号: 8楼

八、由于病毒文件都在IE临时文件夹中,关闭所有浏览器窗口,然后清空IE临时文件夹。

九、安装AntiVir V6.31 Personal Edition 个人版,并升级到最新版本再查,没有发现病毒。

十、把可疑文件svch0st.exe、sfc2.dll、web.exe和downSys.exe拷到软盘,用最新版本的卡巴斯基扫描,也不报。

不过从文件图标及文件属性来看,可疑文件svch0st.exe、sfc2.dll、web.exe和downSys.exe很可能是未知病毒。
gototop
 
艾玛
头像
大版主
  • 帖子:18894
  • 注册: 2004-01-01
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2005-07-18 15:36 | 短消息 资料
字号: 9楼

文件夹图标EXE文件可疑
gototop
 
endurer
头像
社区嘉宾
  • 帖子:22020
  • 注册: 2003-04-29
  • 来自:pe_xscan Studio
论坛8周年活动礼物
发表于: 2005-07-18 21:54 | 只看楼主 短消息 资料
字号: 10楼

把可疑文件svch0st.exe、sfc2.dll通过http://up.rising.com.cn/webmail/uploadnew.htm上报了。


web.exe和downSys.exe与svch0st.exe相似,不报了。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT